Pautan HTTPS langsung ke laman Abundera pihak pertama. Tiada pemendek, tiada lencongan. Keputusan terbaik: Dibersihkan dengan kebolehubahan statik dan aras lantai kebolehubahan pelayan destinasi yang rendah.
https://qr.abundera.ai/
Pembela quishing · Keselamatan QR + URL + pemendek
Jangan percaya QR sehingga ia dibersihkan.
Kod QR adalah orang asing yang menghulurkan sampul surat kepada anda. Begitu juga dengan sebarang URL pendek — bit.ly, t.co, atau pautan dalam DM. Buka tanpa menyemak dan anda boleh mendarat di halaman pancingan kelayakan, perangkap WiFi terbuka, transaksi penyalir dompet, atau niat Android yang memuat sisi perisian hasad. Kami menelusuri rantai, menyaring destinasi, dan memberitahu anda siapa yang boleh mengubahnya selepas QR dicetak — soalan yang menentukan sama ada pelekat meter parkir, URL pendek yang dikongsi, menu restoran, atau risalah MFA korporat sebenarnya selamat.
Tiada daftar, tiada akaun Muatan tidak pernah disimpan Penyahkodan kamera kekal setempat Aplikasi Mac, Windows, iOS, Android akan datang tidak lama lagi
Kongsi alat ini · atau simpan pautan pendek untuk kembali
Imbas kod QR menggunakan kamera anda, muat naik imej, tampal imej, atau tampal teks yang dinyahkod.
Kamera dan penyahkodan imej berlaku dalam pelayar anda. Hanya teks yang dinyahkod dihantar ke penganalisis kami.
Tetapan pengimbas
Memuat turun penyahkod dipertingkat… 0%
Sejarah imbasan
Disimpan pada peranti ini sahaja, tidak pernah dihantar ke pelayan kami. 25 imbasan terakhir, yang tertua dipangkas secara automatik. Sejarah imbasan yang disegerakkan awan (merentasi peranti, 30 hari) ada dalam peta jalan untuk peringkat Personal+.
Lihat ia beraksi
Ketik "Cuba imbasan ini" untuk menjalankannya di sini, atau arahkan kamera telefon anda ke QR, ia melalui pengimbas kami dan keputusan muncul di telefon anda. Tidak perlu lawati apa-apa terlebih dahulu.
QR yang melalui pemendek kami sendiri sebelum mencapai destinasi akhir. Keputusan mendedahkan siapa yang boleh menukar destinasi selepas cetakan, paksi kebolehubahan yang tidak ditunjukkan oleh pengimbas lain.
https://aqr.net/demo-walmart
Pautan yang dijamin diselesaikan di negara berbeza dari anda (JS menukar sasaran selepas mengesan rantau anda). Menunjukkan cip negara per-langkah, rantai yang merentasi sempadan secara tidak dijangka adalah isyarat kepercayaan yang lebih kuat daripada sebarang langkah tunggal.
https://www.bundestag.de/
Google mengekalkan URL ini khusus sebagai perlengkapan ujian Safe Browsing. Ia dikelaskan sebagai SOCIAL_ENGINEERING oleh Safe Browsing, berguna untuk menunjukkan bahawa pengagregat reputasi dan eskalasi keputusan sebenarnya berfungsi, tanpa memaut ke laman pancingan sebenar.
https://testsafebrowsing.appspot.com/s/phishing.html
Cara ia berfungsi
- 1
Nyahkod
Pelayar anda menyahkod QR secara setempat (jsQR). Imej tidak pernah meninggalkan peranti anda. Kami hanya melihat muatan teks.
- 2
Penghantaran
Muatan dikelaskan mengikut skim URI, awalan format berstruktur, atau heuristik kandungan ke salah satu daripada 48 kategori penganalisis yang bersama-sama mengenali 222 varian muatan: URL HTTP (dengan berpuluh-puluh pengecam khusus hos), WiFi, vCard, telefoni, mel, niat Android, mata wang kripto, beralamat-kandungan, data dalam talian, kalendar, geo, berpasangan Bluetooth, onboarding Matter, pembayaran peniaga EMV (PIX, PayNow, PromptPay, UPI, & 30+ skim negara), konfigurasi WireGuard, Smart Health Card, pengaktifan eSIM, berpasangan WalletConnect, hibrid passkey FIDO, skim diblok keras, atau teks biasa. Setiap kategori pergi ke penganalisis khususnya.
- 3
Kesan + klasifikasikan
Untuk URL HTTP, kami menelusuri rantai lencongan melalui perkhidmatan lencongan (Bitly, Linktree, QR Tiger, & ~80 lainnya), merekod perantara per-langkah, mengklasifikasikan kebolehubahan (statik / dinamik-tunggal / dinamik-berantai / iklan-perantara / kitaran), dan mengatribusikan kawalan kepada setiap pengendali perkhidmatan lencongan. Secara selari kami menyaring destinasi terhadap Google Safe Browsing dan URLhaus.
- 4
Penyatuan
Kami menyusun satu bentuk keputusan tunggal yang tidak berubah merentasi jenis muatan:
threat_class,mutability,chain,attribution,sub_payloads,disclosurebahasa biasa. Sub-muatan yang tertanam dalam induk (URL dalam medan NOTE vCard, SSID yang mengandungi pautan, dll.) dihantar secara rekursif.
Apa yang kami tangkap yang alat hanya-URL ketinggalan
Pengimbas ancaman kelas-URL meliputi satu daripada 48 kategori muatan yang boleh dibawa QR, dan satu pengecam tunggal dalam kategori URL itu. Kami mengenali 222 varian muatan merentasi semua 48. Rasa di bawah; senarai penuh dan peta jalan Peringkat 2 ada di halaman liputan.
Rantai lencongan & kebolehubahan
Kesan setiap langkah. Kesan rantai Bitly + Linktree. Kenal pasti pengendali perkhidmatan lencongan. Dedahkan pihak yang boleh menukar destinasi selepas cetakan.
QR konfigurasi WiFi
SSID + penyulitan dihurai dan dinormalkan. Rangkaian terbuka / WEP lemah / tersembunyi ditandakan. Aksara yang mirip dinyahkod agar SSID serupa muncul dalam keputusan.
Perisian penyalir dompet kripto
Format alamat per-rantai + pengesahan checksum. Pengesanan pemilih fungsi EVM (approve, setApprovalForAll, permit). Reputasi Chainabuse.
Pemasangan rumah pintar Matter
Nyahkod muatan onboarding base-38 MT:. Ekstrak ID vendor + ID produk. Dedahkan framing "ini mendaftarkan peranti ke rangkaian rumah anda" supaya pelekat yang ditukar tidak dapat menyertai fabrik penyerang secara senyap.
Pertukaran QR pembayaran peniaga EMV
Hurai muatan EMVCo MPM / CPM (SGQR, PromptPay, PayNow, DuitNow, UPI). Pengesahan CRC + permukaan nama peniaga, mengesan serangan tukar-pelekat, penipuan QR dengan volum tertinggi di peringkat global.
Rampasan akaun log masuk QR
Kenali titik akhir log masuk QR peranti WhatsApp Web, Telegram, Signal, Microsoft 365, Google, GitHub, dan AWS. Amaran bahawa mengimbas memberi sesiapa yang menjana QR akses ke akaun anda.
QR bersih hari ini, halaman pancingan esok
Sebaik sahaja QR dicetak pada pelekat, menu, atau risalah, anda tidak boleh membatalkan cetakan itu. Jadi keputusan yang penting bukan sahaja "adakah pautan selamat sekarang," tetapi "siapa yang boleh menukar ke mana ia menuju selepas dakwat kering." Itulah kebolehubahan.
QR statik
walmart.com dikodkan terus ke dalam matriks QR
Destinasi tersimpan dalam corak titik itu sendiri. Tiada pihak ketiga boleh menulis semula ke mana ia pergi. Apa yang anda imbas hari ini adalah apa yang anda akan imbas setahun dari sekarang.
QR dinamik (risiko)
aqr.net/demo-walmart → pemendek tertentu → walmart.com
QR mengekodkan URL pemendek; pemegang akaun pemendek memilih destinasi pada masa imbasan dan boleh menukarnya dalam 30 saat. Bersih hari ini, pancingan esok, pelekat fizikal yang sama. Kami mendedahkan rantai, menamakan pengendali perkhidmatan lencongan, dan memberitahu anda sama ada aset bercetak terikat.
Harga
Percuma untuk kegunaan peribadi, tanpa daftar. Pelan berbayar untuk individu, keluarga, pasukan, jenama, dan pelancaran perusahaan.
AHLI PENGASAS Kadar anda. Terkunci. Selamanya. Jimat 34% daripada peringkat berbayar, pengebilan tahunan, tersedia sehingga 1 September 2026.
Aplikasi asli akan datang tidak lama lagi
Enjin yang sama, asli pada macOS, Windows, Linux, iOS, dan Android. Imbasan kamera kekal di peranti; pengelasan dihantar ke titik akhir yang sama. abundera.app →
Soalan
Apa itu quishing?
Quishing ialah pancingan data kod QR: penyerang mencetak, men살, menghantar e-mel, atau mesej terus dengan kod QR yang, apabila diimbas, membuka halaman penuaian kelayakan, transaksi penyalir dompet, perangkap WiFi terbuka, atau niat Android yang memuat sisi perisian hasad. QR itu sendiri hanyalah imej, jadi penapis pautan e-mel dan amaran pelayar tidak melihatnya sehingga telefon mangsa telah membuka destinasi. Pertahanan perlu berlaku pada masa imbasan, sebelum telefon mengikuti pautan.
Bagaimana quishing berbeza daripada pancingan biasa?
Tiga perbezaan. Vektor serangan adalah fizikal atau visual — pelekat di atas QR meter parkir, risalah bercetak menyamar pendaftaran MFA, QR menu restoran diganti semalam — jadi ia melepasi get e-mel sepenuhnya. Mangsa mempercayai kod QR lebih daripada pautan dalam e-mel; QR terasa seperti destinasi yang dipilih oleh sesiapa yang mencetak permukaan. Dan kod QR dinamik yang melalui pemendek boleh ditunjuk semula ke destinasi pancingan selepas aset bercetak diedarkan, jadi QR yang selamat pada masa cetak boleh menjadi tidak mesra berbulan kemudian. Pengimbas pautan statik menjawab "adakah URL ini berniat jahat sekarang", bukan "siapa yang boleh menukar ke mana ia menuju".
Bagaimana saya menyemak kod QR selamat sebelum mengimbas?
Jangan arahkan kamera asli telefon anda ke sana, itu membuka destinasi serta-merta. Sebaliknya, buka check.qr.abundera.ai di telefon anda, imbas QR melalui kamera dalam halaman (penyahkodan berlaku secara setempat; imej tidak pernah meninggalkan peranti anda), dan baca keputusan. Kami menelusuri setiap langkah lencongan, mengklasifikasikan sama ada destinasi boleh dikawal oleh pihak ketiga selepas QR dicetak, dan menyemak reputasi terhadap Google Safe Browsing dan pengagregat lain. Keputusan Dibersihkan selamat untuk dibuka; keputusan Berhati-hati dan Jangan teruskan memberitahu anda sebabnya.
Apakah contoh quishing dunia sebenar?
Pelekat meter parkir dan pengecas EV yang menindih QR sah dengan satu yang menunjuk ke halaman penuaian kad kredit — corak yang paling banyak dilaporkan pada 2024-2025, diperhatikan di Austin, San Antonio, dan di seluruh UK. QR menu restoran ditukar ke halaman pancingan semalam oleh penyerang yang menggantikan tent meja secara fizikal. Risalah pendaftaran MFA korporat di bilik mandi pejabat yang kelihatan rasmi tetapi mendaftarkan peranti penyerang. QR jemputan perkahwinan diedarkan berbulan sebelum acara, di mana kompromi akaun pemendek membolehkan penyerang menunjuk semula beribu-ribu kad bercetak. QR pembayaran kripto di terminal jualan ditindih dengan alamat dompet penyerang. Benang biasa: QR bercetak kelihatan sama seperti yang selamat.
Bagaimana ini berbeza daripada Google Safe Browsing atau VirusTotal?
Alat sedia ada mengklasifikasikan sama ada URL sedang berniat jahat. Kami juga mengklasifikasikan sama ada destinasi boleh dikawal oleh pihak ketiga selepas QR dicetak — sifat yang kami panggil kebolehubahan. QR dinamik bersih yang melalui pemendek masih berisiko tinggi untuk pelekat meter parkir atau jemputan perkahwinan: pemegang akaun pemendek boleh menukar destinasi bila-bila masa. Kami mendedahkan postur kawalan ini sebagai medan keputusan kelas pertama bersama keputusan kandungan ancaman.
Adakah anda menyimpan QR yang saya imbas?
Tidak. Muatan yang dinyahkod pergi ke pelayan kami melalui HTTPS supaya kami boleh menelusuri rantai dan menanyakan pangkalan data reputasi — itu keperluan fungsional, bukan pilihan — tetapi ia tidak pernah disimpan. Keputusan dicache oleh cincangan SHA-256 daripada diskriminator per-jenis-muatan yang digabungkan dengan garam rahsia yang dipegang pelayan. Muatan asal tidak boleh dibina semula daripada sebarang entri cache.
Mengapa domain berasingan daripada qr.abundera.ai?
qr.abundera.ai adalah penjana yang menjanjikan semua-sisi-klien: tiada yang meninggalkan peranti anda. Pemeriksa keselamatan ini menghantar muatan yang dinyahkod ke pelayan mengikut keperluan. Kami memisahkan dua permukaan supaya janji sisi-klien sahaja kekal bersih pada domain penjana, dan permukaan model-privasi-terbalik kekal berlabel jelas di sini.
Apakah ciri amaran mutasi?
Peringkat Pro. Hantar QR untuk penjejakan, dan kami menelusuri semula rantai secara berkala. E-mel apabila sasaran lencongan, destinasi akhir, atau set pengendali perkhidmatan lencongan berubah. Ini mengesan corak quishing-dalam-alam-liar yang paling biasa: cetak QR bersih, tukar destinasi ke pancingan berbulan kemudian, tuai imbasan dari aset bercetak.
Bolehkah saya membenamkan ini dalam produk keselamatan saya?
Ya, pada peringkat Pro. API adalah RESTful, mengembalikan keputusan JSON berstruktur dengan jenis-muatan, kelas-ancaman, kebolehubahan, rantai lencongan, atribusi kawalan per-langkah, dan penemuan sub-muatan. Direka untuk penyematan dalam aplikasi dompet, suite keselamatan mudah alih, penapisan URL perusahaan, dan pengaya pratonton pautan Slack / Teams korporat.
Sumber terbuka?
Bukan pada masa ini. Pengelas adalah sumber tertutup semasa kerja paten asas dalam pendakwaan. Kami mungkin menerbitkan pelaksanaan rujukan algoritma yang didedahkan selepas pemberian. Kontrak API adalah awam dan stabil.